什么是 SDN 多站点？

项目
11/23/2024

适用于：Azure 本地版本 23H2

适用于：Windows Server 2025

本文概述了 SDN 多站点，包括其优点和当前限制。可以使用它作为指南来帮助设计网络拓扑和灾难恢复计划。

使用 SDN 多站点可以扩展在不同物理位置部署的传统 SDN 的功能。 SDN 多站点支持跨不同物理位置的本机第 2 层和第 3 层连接，实现虚拟化工作负荷。在本文中，对站点的所有引用均表示物理位置。

有关如何管理 SDN 多站点的信息，请参阅管理 Azure 本地的 SDN 多站点。

好处

下面是使用 SDN 多站点的好处：

统一策略管理系统。 使用共享虚拟网络和策略配置，可以从任何站点管理和配置多站点网络。
无缝工作负荷迁移。 跨物理站点无缝迁移工作负荷，而无需重新配置 IP 地址或预先存在的网络安全组（NSG）。
新 VM 的自动可访问性。 在虚拟网络上获取新创建的虚拟机（VM）的自动可访问性，以及跨物理位置的任何关联的 NSG 的自动可管理性。

限制

SDN 多站点功能当前存在一些限制：

仅在两个站点之间受支持。
站点必须通过专用网络进行连接，因为不提供对通过 Internet 连接的站点的加密支持。
不支持跨站点进行内部负载均衡。

多站点对等互连

多站点需要站点之间的对等互连，这些站点启动类似于虚拟网络对等互连。通过 Windows Admin Center 在两个站点上自动启动连接。建立连接后，对等互连将成功。有关如何建立对等互连的说明，请参阅 “建立对等互连”。

以下部分介绍了多站点环境中每个站点的角色，以及如何在站点之间处理和同步资源。

主站点和辅助站点角色

在多站点 SDN 环境中，一个站点被指定为主站点，另一个站点指定为辅助站点。主站点处理资源同步。在多站点对等互连期间，会自动选择主站点，稍后可以使用 Windows Admin Center 进行更改。

资源处理

如果主站点无法访问，则无法通过辅助站点更新需要全局验证或全局客户地址（CA）分配的全局资源和资源。但是，可以通过辅助站点更新其他本地资源。

需要全局验证的资源示例包括：
- MAC 池。
- 逻辑网络/IP 池。
全局 CA 分配的示例包括：
- 虚拟子网的内部负载均衡。目前，不支持通过 Multisite 执行此操作。
- 虚拟子网的网关连接。
如果辅助站点无法访问，则可以通过主站点更新资源。但是，在还原连接之前，辅助站点可能具有过时的资源。还原连接后，同步将恢复。
如果主站点出现故障，可以将辅助站点指定为新的主站点，以对网络安全组和虚拟网络执行更新。但是，来自旧主站点的任何挂起数据同步都将丢失。若要解决此问题，在旧主站点重新联机后，在新的主站点上应用这些相同的更改。但是，它还可能导致全局 CA 分配冲突。

资源同步

启用 SDN 多站点时，并非所有站点中的所有资源都跨所有站点同步。下面是已同步且保持未同步的资源列表。

同步的资源

建立对等互连后，这些资源将跨所有站点同步。可以从任何站点（主要站点或辅助站点）更新这些资源。但是，主站点负责确保跨站点应用和同步这些资源。管理这些资源的指南和说明与在单站点 SDN 环境中保持不变。
- 虚拟网络。有关如何管理虚拟网络的说明，请参阅 “管理租户虚拟网络”。请注意，逻辑网络不会跨站点同步。但是，如果虚拟网络引用逻辑网络，则具有相同名称的逻辑网络必须存在于这两个站点上。
- 网络安全组 (NSG) 。有关如何使用 Windows Admin Center 和 PowerShell 配置 NSG 的说明，请参阅使用 Windows Admin Center 配置网络安全组，以及使用 PowerShell 配置网络安全组。
- 用户定义的路由。有关如何使用用户定义的路由的说明，请参阅在虚拟网络上使用网络虚拟设备。

同步的资源

建立对等互连后，这些资源将跨所有站点同步。可以从任何站点（主要站点或辅助站点）更新这些资源。但是，主站点负责确保跨站点应用和同步这些资源。管理这些资源的指南和说明与在单站点 SDN 环境中保持不变。
- 虚拟网络。有关如何管理虚拟网络的说明，请参阅 “管理租户虚拟网络”。请注意，逻辑网络不会跨站点同步。但是，如果虚拟网络引用逻辑网络，则具有相同名称的逻辑网络必须存在于这两个站点上。
- 网络安全组 (NSG) 。有关如何使用 Windows Admin Center 和 PowerShell 配置 NSG 的说明，请参阅使用 Windows Admin Center 配置网络安全组，以及使用 PowerShell 配置网络安全组。
- 用户定义的路由。有关如何使用用户定义的路由的说明，请参阅在虚拟网络上使用网络虚拟设备。

未同步的资源

建立对等互连后，这些资源不会同步：
- 负载均衡策略。
- 虚拟 IP 地址（VIP）。
- 网关策略。
- 逻辑网络。尽管逻辑网络不会跨站点同步，但 IP 池会检查是否存在重叠，并且不允许重叠。
这些策略在本地站点上创建，如果想要在其他站点上使用相同的策略，则必须在其中手动创建它们。如果用于负载均衡策略的后端 VM 位于单个站点上，则通过 SLB 建立的连接将正常工作，无需任何额外的配置。但是，如果预期后端 VM 会从一个站点移动到另一个站点，则仅当本地站点上的 VIP 后面有任何后端 VM 时，连接才有效。如果所有后端 VM 都移动到另一个站点，则通过该 VIP 建立的连接将失败。

多站点允许部署 SDN 的不同站点上的 VM 通过同一子网进行通信，而无需设置 SDN 网关连接。这简化了网络拓扑，减少了对更多 VM 和子网的需求。不同站点上的 VM 之间的数据路径依赖于底层物理基础结构。

以下方案比较了在传统 SDN 设置中的两个物理站点与 SDN 多站点设置中如何建立 VM 通信。

没有 SDN 多站点的 VM 到 VM 通信

在跨两个物理站点部署 SDN 的传统设置中，需要建立 L3 或 GRE 网关连接，以便进行站点间通信。还需要为应用程序提供更多子网。例如，如果每个站点托管前端应用程序，则分配单独的子网范围，例如 10.1/16 和 10.6/16。此外，设置网关连接时，还需要为网关 VM 分配更多 VM，并随后对其进行管理。

VM 到 VM 与 SDN 多站点的通信

通过跨两个物理位置的 SDN 多站点，可以具有本机第 2 层连接来实现站点间通信。这样，便可以为跨这两个位置的应用程序创建单个子网范围，而无需设置 SDN 网关连接。例如，如下图所示，两个位置上的前端应用程序可以使用同一子网（例如 10.1/16），而不是维护两个单独的子网。通过此设置，数据流从一个 VM 到另一个 VM 完全依赖于底层物理基础结构，从而避免需要遍历另一个 SDN 网关 VM。

软件负载均衡器及其限制

目前，软件负载均衡器是每个物理站点的本地资源。这意味着，负载均衡策略和配置不会通过多站点跨站点同步。在 SDN 多站点设置中将 VM 从一个位置迁移到另一个位置时，请记住这一点。

SDN 多站点中的负载均衡：示例方案

以下部分通过示例方案介绍 Multisite 中的负载均衡，演示了不带工作负荷 VM 和迁移工作负荷 VM 的情况。假设有两个启用了 SDN 多站点的 Azure 本地实例，每个实例都部署并配置了自己的 SDN 基础结构。在此方案中，客户端希望访问 IP 地址为 10.0.0.5 且 VIP 为 11.0.0.5 的 VM1。

SDN 多站点中的负载均衡，无需迁移工作负荷 VM

在 SDN 多站点中，如果位置之间没有 VM 迁移，数据包会像往常一样转发，类似于传统的 SDN 设置。以下动画演示了通过群集 2 中的 SLB MUX1 从客户端计算机到 VM1 的数据路径。

使用迁移工作负荷 VM 的 SDN 多站点中的负载均衡

如果决定将 VIP 后面的一个 VM 或所有 VM 迁移到另一个站点，则可能会遇到尝试访问的 VM 无法通过 VIP 访问的情况，具体取决于其位置。发生这种情况是因为负载均衡器资源是每个 Azure 本地实例的本地资源。随着工作负荷 VM 的移动，MUX 上的配置并非全局配置，使其他站点不知道迁移。以下动画演示了从群集 2 迁移到群集 1 的 VM，以及数据包的路径在迁移后如何失败。

若要解决此限制，可以使用外部负载均衡器来检查每个站点上的后端 VM 的可用性并相应地路由流量。请参阅将多站点中的外部负载均衡器与迁移工作负荷 VM 配合使用。

将多站点中的外部负载均衡器与迁移工作负荷 VM 配合使用

可以启用外部负载均衡器来检查某个站点中的负载均衡器后面是否存在后端 VM。如果负载均衡器后面没有后端 VM，则 MUX 的 VIP 不会播发到外部负载均衡器，并且发送的任何运行状况探测都失败。即使 VM 从一个站点移动到另一个站点，此外部负载均衡器也能确保与工作负荷的连接。

但是，如果部署外部负载均衡器不可行，请使用 SDN 多站点中的负载均衡中所述的软件负载均衡解决方案，而无需迁移工作负荷 VM ，前提是没有任何迁移的工作负荷 VM。

网关及其限制

SDN 多站点不会跨站点同步本地资源，例如网关连接。每个站点都有自己的网关 VM 和网关连接。创建或迁移到站点的工作负荷 VM 时，它会获取本地网关配置，例如网关路由。如果在一个站点上为特定虚拟网络创建网关连接，则从该站点的 VM 迁移到另一个站点时会失去网关连接。若要使 VM 在迁移时保留网关连接，必须为另一站点上的同一虚拟网络配置单独的网关连接。

后续步骤

管理 Azure 本地的 SDN 多站点

通过

什么是 SDN 多站点？

好处

限制